ISO27001(ISMS)の内部監査とは?進め方や成功のポイントを解説
FAQISMSの内部監査に関するよくある質問
内部監査は何のためにするの?
内部監査は、要求事項への適合性とISMSの有効性を評価するために行います。
ISMSの内部監査を行ううえでのポイントは?
ISMSの内部監査では、情報セキュリティに関するルールの適切性や運用状況などを確認することが大切です。
ISMS監査とは、情報セキュリティのルールが「守られているか」だけでなく、「実際に機能しているか」まで確認する重要な取り組みです。そのため、ただのチェック作業ではなく、組織のリスクを低減し、継続的な改善につなげるための仕組みといえます。
しかし、「何を確認すればよいのか分からない」「形式的な監査になってしまう」といった悩みを抱える企業も少なくありません。適切に実施できなければ、本来得られるはずの改善効果を十分に発揮できない可能性があります。
この記事では、ISO27001とISMSの違いをはじめ、ISO27001の内部監査の目的とポイント、具体的な内部監査の手順についてご紹介します。
目次
ISO27001(ISMS)の内部監査とは?
ISO27001(ISMS)の内部監査とは、構築・運用している情報セキュリティマネジメントシステムが「規格に適合しているか」と「有効に機能しているか」を定期的に確認するための仕組みです。
ルールが現場で正しく運用されているか、新たなリスクが発生していないかを客観的に評価し、次の改善アクションへとつなげる役割を果たしているのです。
内部監査の目的
ISO27001内部監査の目的は、構築・運用しているISMSが「ISO27001の要求事項に適合しているか」「有効に機能しているか」を確認することです。
- 適合性:ISO27001の要求事項に沿ってルールや手順が整備されているか、またその内容どおりに運用されているかを確認すること
- 有効性:整備されたルールや仕組みが、実際に情報セキュリティリスクの低減や目標達成に機能しているかを確認すること
特に重要なのが有効性の確認です。情報セキュリティの重要性を理解し、定められたルールを適切に運用できているかまで踏み込んで評価することが求められます。
また、日常業務では見えにくい課題や潜在的なリスクを発見し、改善につなげる機会としても内部監査は重要な役割を担います。
要求事項における内部監査の位置づけ
内部監査は、ISO27001の要求事項において実施が明確に義務付けられている重要なプロセスです。
具体的には、2022年版(ISO/IEC27001:2022)の「9.2内部監査」において、「9.1.1一般」「9.1.2内部監査プログラム」と2つの章に分けて規定されています。
要求事項では、内部監査の実施について以下のように求めています。
- 定期的に実施すること
- 客観性や公平性を確保する内部監査員を選定すること
- 監査実施手順を確立し、実施すること
- 内部監査の結果は、各責任者に確実に報告すること
- 内部監査の計画から実施、処置に関する記録を文書化し、管理すること
内部監査はただ実施すれば良いものではなく、運用状況を客観的に評価し、その結果をもとに改善へとつなげることが重要です。
PDCAサイクルの「C(Check)」として機能させることで、次の「A(Act)」である是正・改善活動を効果的に回すことができ、ISMS全体の実効性向上につながります。
外部監査との違い
企業がISO27001の認証審査を受けるには、「審査機関(認証機関)」による審査を受けます。審査機関は自社とは関わりがない第三者機関であるため、外部監査と呼ばれます。
それでは、社内で行う内部監査と外部監査ではどのような点が異なるのでしょうか。以下に、違いについてまとめました。
| 外部監査 | 内部監査 | |
|---|---|---|
| 監査者 | 第三者(社外) | 第一者(社内) |
| 評価する点 | ISO要求事項への適合性 |
|
| 監査頻度 | 基本的に年1回 | 年に1~数回実施 |
| 備考 |
|
|
内部監査は社内で選任された内部監査員が実施するため、社内の業務プロセスやリソースなどに精通しています。そのため、適切に内部監査を実施することで、被監査部門の小さな変化や潜在的な問題点にも気づきやすいという特徴があります。
ISO27001(ISMS)内部監査の進め方
ISO27001(ISMS)の内部監査は、一般的に「内部監査員の選定→事前準備→監査の実施→結果の報告・改善」という4つのステップで進めます。
ここでは、それぞれのステップについて具体的に解説します。
1.内部監査員を選定する
まず、内部監査を実施する内部監査員を選定しましょう。
内部監査員に特別な資格はありませんが、以下のような特徴を満たし、長期にわたり会社に在籍している社員を任命することが一般的です。
- 自社のルール・マニュアルを正確に理解している
- 被監査部門の業務内容を理解している
- 内部監査に対する知識やノウハウがある
内部監査員に求められる力量や資格の取得方法などは、以下の記事をご覧ください。
2.内部監査の準備をする
ISO27001の内部監査は、管理責任者が作成した計画に準じて行われるのが一般的です。準備段階では、以下の内容を行います。
- 最新の規格や顧客要求を整理する
- 内部監査計画書の作成
- 内部監査チェックリストの作成・更新
特にデバイスや通信方法に新しいものが加わった場合は、それまでのチェックを継続してもセキュリティに穴が開いている可能性があります。内部監査の前に、文書類が最新の情報になっているか確認しましょう。
3.内部監査を実施する
内部監査は、「有効性」「適合性」の2つの観点から行います。具体的には、下記のようなポイントを評価していきます。
- 適切に情報資産が管理・保護されているか文書や運用の確認
- 新たに情報セキュリティを脅かす可能性がある要素はないか
- 社内のメンバーが情報セキュリティの必要性を理解してルールを守っているか
チェックリストをただ埋めるだけの監査ではなく、マネジメントシステムの実情に潜む課題を明らかにすることを心がけましょう。力量評価表の確認だけでなく、実際の担当者がどのように業務にあたっているか確認することも有効です。
4.監査内容を報告する
内部監査を実施したのち、その内容を内部監査報告書にまとめてトップマネジメントに報告します。
もし監査の中で課題となる内容が見つかれば、PDCAの考え方に基づきマネジメントレビューを行う必要があります。監査上不適合となった内容は、是正指示書を作成し、担当者など関連メンバーで対策を行った後、部門責任者や事務局で有効性の検証を行い、是正案件をクローズさせましょう。
ISO27001(ISMS)の内部監査で作成すべき書類一覧
ISO27001(ISMS)の内部監査で作成が義務付けられている書類を解説します。
内部監査計画
内部監査計画とは、内部監査を実施する前に作成する「監査方針」「対象部門」「監査範囲」「実施者」「監査項目」「監査の日時」などを文書化した書類のことです。
過去の内部監査報告書やリスク評価、経営者の方針などをもとに内部監査計画書を策定します。
内部監査チェックリスト
内部監査チェックリストとは、内部監査を実施する際に確認するポイントをまとめた表のことです。
ISO27001要求事項の項番に沿って作成し、質問内容や確認すべき書類などを記載します。
チェックリストを用いながら内部監査を進行することで、内部監査の標準化や確認漏れの防止、作業効率化などのメリットが見込めます。
ただし、単純にチェックリストをなぞるだけの形式的な内部監査では、現場の潜在的な問題を発見できない可能性があります。そのため、現場をよく観察し、決められた質問から、内情を掘り下げる質問まで発展させるなどの内部監査員の力量が重要です。
内部監査報告書
内部監査報告書とは、内部監査を実施後にその結果をまとめた書類のことです。
具体的には、以下の内容を記載します。
- 被監査部門
- 担当の内部監査員
- 実施日時
- 内部監査の内容
- 内部監査の結果
内部監査により発見された問題点や課題、提案された改善策などを記録したうえで、トップマネジメントにマネジメントレビューのインプットとして提出します。
ISO27001(ISMS)内部監査を成功させるポイント
ISO27001(ISMS)の内部監査を成功させるためには、以下の4つのポイントを押さえることが大切です。
- 改善につなげる視点をもつ
- 客観性・公平性を維持する
- 内部監査員の力量を高める
- 社員の力量が適切か判断する
ここでは、それぞれのポイントについて詳しく解説します。
粗探しではなく、改善のために実施する
できていない部分を粗探しする内部監査では、建設的な改善につながりません。被監査部門の従業員のモチベーションは下がり、ISO27001に対する嫌悪感さえ抱いてしまうかもしれません。
内部監査を成功させるには、あくまで「改善の機会」として取り組むことが重要です。
要求事項への適合性や有効性をチェックし、より良い運用を継続するための気づきが得られる機会と捉えましょう。
そのためには情報セキュリティマネジメントシステムに必要な機密性、完全性、可用性がビジネスのプロセスやマネジメント構造に組み込まれているか確かめることがおすすめです。
客観性・公平性を維持する
内部監査員と被監査部門との間に客観性・公平性を維持することは、内部監査の成功を左右する大切な要素です。親しい間柄であったり、上司と部下の関係性にあったりすると、内部監査の結果に歪みが出てくることもあるためです。
そのため内部監査員を選定する際には、以下の点を意識しましょう。
- 内部監査員と被監査部門の責任者が同格であること
- 内部監査員と被監査部門に接点ができる限りないこと
内部監査員の力量を高める
内部監査員の力量を高めることは、より効果的な内部監査の実施に欠かせません。内部監査員には、主に以下のような力量を備えていることが求められます。
- ISO27001(ISMS)への理解
- ヒアリング・コミュニケーションスキル
- 問題発見力
- 監査報告書作成力
こうした力量を高めるための研修や講習を受けることや内部監査員の資格認定を受けることなどの手段があります。
社員の力量が適切か判断する
社内の情報セキュリティリスクを減らすには、各リーダーの役割や権限を明確化し、それぞれの社員の力量が適切か判断する必要があります。
例えば、いくら強固なファイアウォールを設定して技術的な歯止めをかけていたとしても、社内のメンバーがパソコンを社外に持ち出せる状況であればほとんど効果がありません。
このような状況では有効性が高いとはいえず、社員の意識やモラルの向上が課題になります。
ISO27001(ISMS)内部監査でよくある不適合と対策
ISO27001(ISMS)の内部監査では、形式的な運用やルールと実態の乖離によって不適合が発生するケースが多く見られます。
以下に内部監査でよくある不適合である「リスク管理」「アクセス管理」「教育」と、それぞれに対して具体的な対策を紹介します。
リスクアセスメントの形骸化
リスク評価が一度作成したまま更新されておらず、実態に合っていないケースがよくあります。新たなシステム導入や業務変更があっても反映されていないと、適切なリスク対策が取れません。
| 対策 | 定期的な見直しルールを設け、業務変更やインシデント発生時に必ずリスクアセスメントを更新する体制を整えましょう。 |
|---|
アクセス権管理の不備
退職者のアカウントが残っている、不要な権限が付与されたままになっているなど、アクセス管理の不備も典型的な不適合です。
| 対策 | 入退社や異動時の権限変更フローを明確化し、定期的なアクセス権レビューを実施することが有効です。 |
|---|
教育・訓練の実施不足
情報セキュリティ教育が形だけになっていたり、実施記録が不十分であったりするケースも多く見られます。従業員の理解不足は重大なリスクにつながります。
| 対策 | 定期的な教育計画を策定し、受講記録や理解度確認(テストなど)まで含めて管理することで、実効性を高めることが重要です。 |
|---|
まとめ
ISO27001は情報を安全に守るため、ISMSをどのような方法で実施すべきかを示した規定です。
内部監査を行う際は、情報管理のマネジメントシステムの核となる機密性、完全性、可用性がどの程度機能しているかなど、社内のメンバーの情報セキュリティ意識を確認しましょう。
また、各規定が業務上有効に働いているか調査することも必要です。不適合箇所を継続的に改善していくことで、企業の価値や国内外での競争力向上が期待できます。
ISOプロでは月額4万円から御社に合わせたISO運用を実施中
ISOプロではISO各種の認証取得から運用まで幅広くサポートしております。
また、マニュアル作成など御社に合わせたムダのない運用を心がけており、既に認証を取得しているお客様においてもご提案しております。
サポート料金においても新プランを用意し、業界最安級の月額4万円からご利用いただけます。
こんな方に読んでほしい